FEHLER!

Sicherheitslücke in WordPress-Plugin SureForms gefährdet über 200.000 Webseiten

Die weit verbreitete WordPress-Komponente SureForms, mit über 200.000 aktiven Installationen, ist durch eine Schwachstelle in ihrer Funktionalität gefährdet, die eine vollständige Kompromittierung verwundbarer Systeme ermöglicht. IT-Sicherheitsforscher des Unternehmens Wordfence haben diese Lücke aufgedeckt und ihre Funktionsweise detailliert in einem Blogbeitrag analysiert. Das Plug-in, offiziell SureForms – Drag and Drop Form Builder for WordPress, birgt die Schwachstelle in der Funktion codedelete_entry_files(). Hier fehlt eine adäquate Überprüfung von Dateipfaden, was Angreifern im Internet ohne vorherige Anmeldung ermöglicht, beliebige Dateien auf dem Server zu löschen. Dieses Verhalten kann letztendlich zur Ausführung fremden Codes aus der Ferne führen. Ein Angriff könnte beispielsweise die wp-config.php-Datei löschen, wodurch die WordPress-Instanz in den Setup-Modus versetzt und damit an eine von den Angreifern kontrollierte Datenbank angeschlossen wird. Diese gefährliche Situation wurde mit CVE-2025-6691 / EUVD-2025-20783 klassifiziert und weist einen CVSS-Score von 8.1 auf, was ein hohes Risiko darstellt. Betroffen sind unter anderem Versionen wie SureForms 1.7.3. Glücklicherweise haben die Entwickler schnell reagiert und verschiedene Versionszweige mit Aktualisierungen versehen. Sicherere Fassungen wie SureForms 1.7.4, 1.6.5, 1.5.1, 1.4.5, 1.3.2, 1.2.5, 1.1.2, 1.0.7 und 0.0.14 sind bereits verfügbar und schließen die Sicherheitslücke. IT-Verantwortliche mit WordPress-Systemen sollten unverzüglich prüfen, ob ihre Instanzen auf diesen aktualisierten Versionen laufen. Sollte dies nicht der Fall sein, ist eine zeitnahe Aktualisierung dringend erforderlich, um das Risiko einer Kompromittierung zu minimieren. Ein ähnliches Szenario ereignete sich kürzlich auch beim Plug-in Forminator, das über 600.000 Webseiten nutzt und durch eine vergleichbare Schwachstelle in der Lage war, Angreifern die Kontrolle über die wp-config.php-Datei und somit über die gesamte Instanz zu ermöglichen. Dies unterstreicht die Bedeutung regelmäßiger Sicherheitsupdates und ständiger Aufmerksamkeit auf potenzielle Schwachstellen in WordPress-Plugins.

Schlagwörter: SureForms + Wordfence + Drag

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 10. Juli 2025